Vulnerabilidad en Advanced Custom Fields (ACF) para Wordpress (CVE-2012-10025)
Gravedad CVSS v4.0:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
05/08/2025
Última modificación:
07/08/2025
Descripción
El complemento Advanced Custom Fields (ACF) para Wordpress versión 3.5.1 y anteriores, contiene una vulnerabilidad de inclusión remota de archivos (RFI) en core/actions/export.php. Cuando la directiva de configuración de PHP allow_url_include está habilitada (desactivada por defecto), un atacante no autenticado puede explotar el parámetro POST acf_abspath para incluir y ejecutar código PHP remoto arbitrario. Esto provoca la ejecución remota de código en el contexto del servidor web, lo que permite la vulneración total del host.
Impacto
Puntuación base 4.0
10.00
Gravedad 4.0
CRÍTICA
Referencias a soluciones, herramientas e información
- http://web.archive.org/web/20121223025326/http://secunia.com:80/advisories/51037
- https://raw.githubusercontent.com/rapid7/metasploit-framework/master/modules/exploits/unix/webapp/wp_advanced_custom_fields_exec.rb
- https://wordpress.org/plugins/advanced-custom-fields/
- https://wpscan.com/vulnerability/d132d93b-509c-490d-8001-87147ed28c5e/
- https://www.exploit-db.com/exploits/23856
- https://www.tenable.com/plugins/nessus/63326
- https://www.vulncheck.com/advisories/wordpress-plugin-advanced-custom-fields-remote-file-inclusion
- https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/advanced-custom-fields/advanced-custom-fields-351-remote-code-execution-via-remote-file-inclusion
- https://raw.githubusercontent.com/rapid7/metasploit-framework/master/modules/exploits/unix/webapp/wp_advanced_custom_fields_exec.rb
- https://www.exploit-db.com/exploits/23856